Auditarea_sistemelor_informatice_cig - sinteza.pdf

7/31/2019 Auditarea_sistemelor_informatice_cig - sinteza.pdf

1/33

1

AUDITAREA SISTEMELOR INFORMATICE DE GESTIUNE

OBIECTIVECursul i propune s asigure studenilor i masteranzilor facultilor cu profil

economic cunotinele necesare economitilor cu privire la auditarea sistemelorinformatice folosite de organismele economice pentru gestionarea i controlulresurselor i activitilor desfurate. Nu i propune s le ofere cunotine tehnicedespre calculatoare i sisteme informatice, ci s le prezinte cele mai semnificativemoduri n care a fost afectat activitatea de audit de apariia sistemelor electronice decalcul i de utilizarea acestora de ctre organismele economice.

INTRODUCEREO discuie despre auditarea sistemelor informatice de gestiune trebuie s nceap

cu definirea Sistemului Informatic de Gestiune (SIG): Sistemul Informatic (SI) deevideni control a activitilori bunurilor unui Organism Economic (OE). Sistemul

informatic de gestiune prelucreaz automat datele de evideni control vehiculate ncadrul oricrui tip de organism economic.Auditarea sistemelor informatice de gestiune const n verificarea i controlul

activitilor sistemelor informatice de gestiune. Sistemul informatic de gestiune fiindun caz particular de sistem informatic, tehnicile i mecanismele de auditare asistemelor informatice sunt valabile i pentru sistemele informatice de gestiune. Deaceea, se va discuta numai despre auditarea sistemelor informatice, ca fiind maicuprinztoare.

Dezvoltarea rapid a sistemelor de prelucrare automat a datelor, determinat deapariia i evoluia tehnicii de calcul i a software-ului specializat, a avut un impactfoarte mare asupra modului de eviden i control al activitilor desfurate deorganismele economice. Evoluia tehnologic a microcalculatoarelor de tip PC, din cen ce mai performante i mai ieftine, accesibile tuturor, a condus la dezvoltarea rapid aaplicaiilor software dedicate (programe de contabilitate, de salarii, de eviden amijloacelor fixe, de secretariat etc.), utilizabile de nespecialiti n informatici, implicit, la utilizarea, pe scar larg, a sistemelor informatice bazate pe mediu PC.Astzi, i cele mai mici firme i pot permite s foloseasc, ntr-un fel sau altul, uncalculator pentru evidena resurselor utilizate (materiale, umane, financiare,informaionale) i a activitilor desfurate n vederea executrii de produse sau

servicii pe care le ofer clienilor cu scopul realizrii de profit. n aceste condiii,sistemele de gestiune i prelucrare a datelor clasice (manual sau mecanic) suntnlocuite, treptat, cu sisteme informatice. i, deoarece raportrile financiare periodicesunt solicitate, obligatoriu, i n format electronic (pe FloppyDisk sau prin e-mail),chiari organismele economice cu activitate foarte redus (firmele foarte mici) trebuies utilizeze o form de sistem informatic, pentru generarea acestora, sau s apeleze laserviciile unui centru de calcul.

Sistemele informatice prelucreaz datele introduse n sistem (intrrile) conformunor algoritmi prestabilii, determinai de regulile de gestiune proprii fiecrui organismeconomic i n conformitate cu reglementrile i legislaia n vigoare. Pentru a controladac rezultatele prelucrrilor efectuate n interiorul sistemului informatic utilizat


2/33

2

respect condiiile prestabilite i ieirile furnizate de acesta sunt cele solicitate demanageri, un organism economic, indiferent de volumul su de activitate, trebuie sfoloseasc o form de audit al sistemelor informatice.

Trebuie fcut distincie ntre auditul activitilor economice desfurate ncadrul unui organism economic i auditul sistemului informatic utilizat de organismuleconomic respectiv, pentru evidena activitilor desfurate i a bunurilor sale.

Auditul activitilor economice desfurate de un organism economicurmrete:- evidenierea tuturor activitilor economice desfurate, prin nregistrarea corect a

acestora, pe documente de eviden i control - suport de hrtie sau formatelectronic;

- efectuarea prelucrrilor asupra datelor rezultate din activitile economicedesfurate, n conformitate cu regulile de gestiune intern ale acestuia, cu normele,reglementrile i legislaia n vigoare;

- generarea tuturor rapoartelor i situaiilor necesare factorilor de conducere(managerilor) pentru a lua cele mai bune decizii;

- determinarea valorii taxelori impozitelor care trebuie pltite, conform legislaiei nvigoare;- ntocmirea corect a declaraiilor financiare, n conformitate cu legislaia n vigoare.

Auditul activitilor sistemului informatic, utilizat de un organism economic n

desfurarea activitilor sale economice, urmrete;

- asigurarea corectitudinii, completitudinii i preciziei datelor introduse n sistem,deoarece afecteaz rezultatele prelucrrilor efectuate de acesta;

- asigurarea corectitudinii prelucrrilor efectuate asupra datelor introduse n sistem,n sensul c rezultatele acestora respect regulile de gestiune specifice organismului

economic respectiv i legislaia n vigoare;- asigurarea corectitudinii i integritii ieirilor sistemului, n sensul c acestea suntcele solicitate de managerii organismului economic respectiv i de organismele decontrol financiar;

- asigurarea corectitudinii procedurilor de control (controalelor) folosite pentruauditarea sistemului informatic respectiv.

Prin urmare, n condiiile n care organismele economice folosesc n activitatealor sisteme electronice de calcul, economitii trebuie s fie pregtii s lucreze ntr-unmediu aflat ntr-o continu schimbare, n care prelucrrile, evidenele i controlul se facfolosind de la sisteme informatice simple, formate dintr-un singur sistem PC (calculator

personal pe care sunt instalate programele necesare i imprimant), pn la sistemeinformatice complexe, care includ reele de PC-uri i echipamente perifericeinterconectate (intranet, internet, telecomunicaii etc.). Pentru a fi competitivi, ei trebuies i mbogeasc cunotinele cu informaii despre sistemele informatice folosite nmediul economic i despre auditarea acestora.

1. SISTEMULINFORMATICApariia sistemelor informatice i utilizarea acestora de ctre organismele

economice au schimbat modul n care i desfoar activitatea economitii, inclusiv

auditorii, i au impus acestora nsuirea unor cunotine minime despre:


3/33

3

- structura i arhitectura calculatoarelor;- sistemele de calcul utilizate n sistemele informatice;- programele i aplicaiile (software) utilizate de sistemele informatice;- posibilitile de calcul, eviden i control oferite de sistemele informatice

utilizatorilor lor;- utilizarea sistemelor de calcul n activitile economice i de audit;- proiectarea, realizarea i utilizarea sistemelor informatice;- tehnicile de audit asistate de calculator;- tehnicile de integrare a procedurilor de audit n sistemele informatice etc.Sistemul informatic este partea automatizat a sistemului informaional din

cadrul unui organism economic. Sistemul informatic are funcia de prelucrare automata datelor pentru obinerea informaiilor necesare fundamentrii deciziilor i pentruinformare.

Pornind de la funcia sa, sistemul informatic are urmtoarea structurgeneral(model principial):

INTRRI: totalitatea datelor supuse prelucrrilor; PRELUCRRI: totalitatea operaiilor efectuate asupra datelor pentru

obinerea informaiilor care stau la baza deciziilor; IEIRI: rezultatele prelucrrilor efectuate asupra datelor.Ca arhitectur (model constructiv), sistemul informatic este alctuit din: HARDWARE: totalitatea sistemelor de calcul folosite pentru prelucrarea

i/sau evidena datelor; SOFTWARE: totalitatea programelor folosite pentru prelucrarea i/sau

evidena datelor;

COLECII ORGANIZATE DE DATE: Baze de Date BD; mulimeadatelor supuse prelucrrilori/sau evidenei computerizate; SISTEM DE COMUNICAII: intranet, internet, telecomunicaii etc.; RESURSE UMANE: personal tehnic, personal de exploatare, utilizatori etc.; CADRU ORGANIZATORIC.Sistemul informatic este ntlnit, n literatura de specialitate, i sub denumirea de

sistem electronic de prelucrare automat a datelor, deoarece, pentru prelucrareaautomat a acestora, folosete sisteme electronice, digitale, de calcul.

Ca hardware, un sistem digital de calcul, numit calculator, este format din:Unitatea central de prelucrare,compus, la modul cel mai general, din:

unitatea de control, care execut instruciunile programului de manipulare a datelor; unitatea de stocare, care memoreaz programul i datele de manipulat; unitatea aritmetici logic, care execut operaii aritmetice i logice asupra datelor,

cu o vitez de neimaginat. Echipamentele periferice de intrare i/sau ieire, conectabile la unitatea

central de prelucrare prin interfee specializate, care pot fi: de intrare (INput): asigur introducerea i manipularea datelor de prelucrat n sistem

i convertirea acestora ntr-un format intern calculatorului, numit cod sau limbajmain; exemplu: tastatur, mouse, scanner, cititor de carduri magnetice, cas

electronic de marcat, terminal inteligent etc.;


4/33

4

de stocare (memorare) a datelor (INput/OUTput): crete capacitatea de memorare(date i programe) a unitii centrale de prelucrare; cele mai utilizate sunt benzile idiscurile magnetice (memorii externe, nevolatile); discurile magnetice au avantajulaccesului direct, lucru care permite localizarea rapid a datelor; exemplu:HarDDisck, FloppyDisk, CD-ROM, CD-RW, DVD-ROM, DVD- RW etc.;

de ieire (OUTput): asigur prezentarea rezultatelor prelucrrilor efectuate deunitatea central de prelucrare, la ieirea sistemului de calcul, ntr-un format saulimbaj cunoscut utilizatorului; exemplu: monitor, imprimant etc.;

de comunicaie: asigur transferul de date ntre sisteme de calcul diferite sau ntre unsistem de calcul i echipamentele sale periferice; exemplu: modem, interfa dereea etc.

Calculatoarele utilizate de sistemele informatice folosesc patru tipuri majore desoftware (programe):

- software de sistem, pachete de programe utilitare care controleaz icoordoneaz componentele hardware ale sistemului i ofer suport pentru celelalte

categorii de software; sunt scrise de specialiti n domeniu informaticieni; exemplu:sistemul de operare = pachet de programe utilitare care controleaz accesul la

programele i datele stocate n memoria (interni extern) calculatorului (fiiere deprograme i de date) i menine un jurnal al tuturor activitilor acestuia; sistemul deoperare joac rolul cheie de interfa om-main, fr el calculatorul ar fi o cutienefolositoare; cel mai utilizat este sistemul de operare Microsoft Windows;

- limbaje de programare, folosite pentru scrierea celorlalte tipuri de software(scrierea de programe); acestea au evoluat de la limbajul cod main, numit programobiect, pn la limbaje foarte asemntoare vorbirii umane, numite limbaje de nivel

nalt sau limbaje surs; pentru conversia programelor surs (limbaj de nivel nalt) nprograme obiect (limbaj cod main) se folosesc programe specializate de translatare(traducere) cunoscute sub denumirea de translatoare sau compilatoare ; fiecare limbajde programare de nivel nalt are propriul compilator; sunt scrise de specialiti ndomeniu - informaticieni; exemplu: VisualBasic, Visual C++ etc.;

- software pentru dezvoltare de aplicaii, pachete de programe folosite ndezvoltarea de aplicaii specializate pentru informatizarea diferitelor tipuri de activiti;exemplu: Sisteme de Gestiune a Bazelor de Date - SGBD (Access, FoxPro, Delphietc.), folosite pentru informatizarea activitilor economice, care gestioneaz volumemari de date, de acelai tip, asupra crora se aplic operaii aritmetice ( +, -, *, /, medie

aritmetic, medie geometric) i logice (NOT, AND, OR) simple; sunt scrise despecialiti n domeniu - informaticieni;

- software de aplicaie sau de utilizator, pachete de programe cu sarcini deprelucrare i eviden specifice unui tip de activitate; acesta poate fi:

a) independent de activitatea de baz a unui organism economic; este scris, deregul, de organisme economice specializate n software de aplicaie i este disponibil

pe pia, la preuri accesibile (n mod uzual, mai mici dect costurile de realizare dectre fiecare utilizator n parte); exemplu: aplicaie de contabilitate (CIEL, MENTORetc.), procesor de text (MicrosoftWord, CorelWordperfect etc.), procesor de tabele


5/33

5

(MicrosoftExcel, Lotus, etc.); de obicei, firmele productoare grupeaz software-ul deaplicaie pe domenii de activitate;exemplu 1: Kit-ul Microsoft Office, folosit n activitatea de secretariat, cuprinde:

procesor de text Word, folosit pentru redactarea de documente; procesor de tabele Excel, folosit pentru redactarea de tabele;

pota electronic Outlook Express, folosit pentru comunicarea prin e-Mail; SGBD-ul Access, folosit pentru gestionarea i evidena activitilor; Programul de prezentare PowerPoint, folosit pentru redactarea documentelor

de prezentare i publicitate;exemplu 2: Kit-ul Mentor, folosit n gestiunea activitilor economice, cuprinde:

modul de contabilitate; modul de gestiune a stocurilor; modul de salarii i eviden personal; modul de eviden a mijloacelor fixe;

b) dependent de activitatea de baz a organismului economic, de regulile deevideni prelucrare specifice domeniului de activitate propriu acestuia sau impuse demanagerii si; pot fi scrise:

- la comand, de organisme economice specializate n software; n acest caz,economitii organismului economic respectiv trebuie s dein minimul necesar decunotine de proiectare, realizare i control al sistemelor informatice care s le permits fac o comand corecti s verifice programele respective, la recepie;

- de specialitii angajai ai organismului economic respectiv, economiti sau/iinformaticieni; n acest caz, economitii trebuie s aib suficiente cunotine deinformatic, informaticienii trebuie s aib suficiente cunotine din domeniu economic

i toi trebuie s neleag mecanismul de funcionare i nevoile de calcul propriiorganismului economic respectiv, pentru a proiecta, realiza i testa sistemul informaticsolicitat, n ansamblul su;exemple: aplicaie de urmrire producie (pentru o fabric); aplicaie de evidenstudeni (pentru o universitate); aplicaie bancar, aplicaie de eviden a activitilor de

pot, aplicaie de eviden a activitilor de telecomunicaii etc.Indiferent de mrimea i complexitatea lor, sistemele informatice, ca sisteme de

prelucrare automat a datelor, pot fi:- Sisteme de procesare pe loturi:se caracterizeaz prin faptul c datele de intrare

sunt adunate i procesate periodic, n grupuri individuale; introducerea datelor n sistem(de la tastatura calculatorului) se face ntr-un compartiment specializat n culegerea dedate; prezint avantajul c un singur operator specializat poate introduce ntr-un singurcalculator datele culese n mai multe locaii; prezint dezavantajul c nu oferutilizatorilor informaii de ultim or, la orice moment de timp; exemplu; strngereadatelor aferente vnzrilor dintr-o zi i procesarea lor, la sfritul zilei respective.

- Sisteme on-line: permit accesul direct al utilizatorilor la date, pentruactualizarea sau consultarea lor din locaii diferite, aflate la distan de sistemul decalcul n care sunt stocate; dac datele sunt stocate iniial ntr-un fiieri prelucrate

periodic, sistemul respectiv prezint:


6/33

6

avantajele date de introducerea datelor direct n sistem, de ctre utilizatorinespecialiti i efectuarea prelucrrilor de ctre un singur specialist;

dezavantajul sistemelor de procesare n loturi, legat de nefurnizareainformaiilor actualizate n orice moment de timp (timp real);dac datele se prelucreaz imediat ce sunt introduse n calculator, direct de utilizatori,

prin intermediul terminalelor aflate la distan, sistemele se numesc on-line n timp reali ofer utilizatorilor lor:

avantajele date de furnizarea informaiilor de ultim or, bazate pe rezultateleprelucrrilor ultimelor date introduse n sistem i de reducerea cantitii necesare dedocumente, prin eliminarea documentului surs original folosit la introducerea datelorn calculator;

dezavantajul schimbrilor produse, n structura procedurilor de audit intern,de necesitatea integrrii unor tehnici de control suplimentare, nc de la proiectareasistemului, care s asigure corectitudinea prelucrrii datelori a rezultatelor obinute;exemplu: sistemul informatic on-line n timp real, implementat la o banc, avnd mai

multe filiale, permite unui operator, de la orice filial a acesteia, s actualizeze contulunui client prin nregistrarea depunerii/retragerii unei sume de bani direct, de la unterminal calculator.

- Sistemele tip baz de date, n care datele sunt stocate (memorate, nregistrate) osingur dat, ntr-o baz de date comun tuturor seciunilor aplicaiei (un singur fiier),stocat pe un suport de memorie extern (unitate de disc magnetic), cu acces direct;

prezint, fa de sistemele tradiionale de eviden informatizat pe care le nlocuiesc,urmtoarele avantaje:

elimin redundana de date, produs de gestionarea separat a datelor (nfiiere separate);

are costuri de operare mai mici, pentru c elimin costurile suplimentaredeterminate de redundana datelor;

asigur consistena evidenelor, deoarece toate informaiile pot fi actualizatesimultan;

rspund rapid la cererile de informaii ale utilizatorilor, deoarece permitaccesul direct al utilizatorilor la datele stocate n sistem;

- Sistemele de prelucrare distribuit a datelorsunt formate, de regul, dintr-omulime de sisteme de calcul, de putere mai mic, plasate n diferite departamente saulocaii ale unui organism economic, care permit utilizatorilor s prelucreze datele lalocul producerii lor, n vederea obinerii de informaii specifice departamentului saulocaiei respective; aceste sisteme sunt conectate la un calculator central, de putere maimare, numit server, care permite utilizatorilor s acceseze programele i datele ncomun; sistemul distribuit ofer conducerii accesul, n timp real, la ntreg volumul dedate vehiculate ntr-o perioad de timp de organismul economic respectiv, cu

posibilitatea de accesare selectiv i prelucrare personalizat, folosind calculatoarelocalizate n departamentul de conducere.

Utilizarea sistemelor informatice n desfurarea activitilor lor economicei/sau pentru evidena i controlul acestora ofer organismelor economice att avantaje,

ct i dezavantaje.


7/33

7

Principalele avantaje oferite de utilizarea sistemelor informatice de ctreorganismele economice sunt:

- mbuntirea preciziei rezultatelor prelucrrilor, prin eliminarea erorilorumane care pot aprea ntr-un sistem manual de prelucrare i prin procesarea uniforma datelor, pe msura apariiei acestora;

- creterea vitezei de procesare, prin prelucrarea automat a datelor ieliminarea timpilor de prelucrare manual a acestora, oferind utilizatorilor informaiilesolicitate, n momentul cnd acetia au nevoie de ele;

- eliminarea forei de munc implicate n prelucrarea manual a datelor, prinprelucrarea automat a acestora, folosind calculatorul;

- sporirea volumului de informaii oferite utilizatorilorntr-un interval dat detimp, prin creterea volumului de date prelucrat pe unitatea de timp determinat de

prelucrarea automat a acestora;- sporirea diversitii i complexitii informaiilor oferite utilizatorilor, prin

prelucrarea automat a datelori folosirea caracteristicilor grafice ale echipamentelori

programelor disponibile.Principalele dezavantaje oferite organismelor economice de utilizarea sistemelorinformatice n desfurarea activitilor lor, economice sau neeconomice (tiinifice, de

proiectare etc.), se numr:- posibilitatea apariiei unor defecte hardware, care pot determina pierderea

datelori, implicit, imposibilitatea de obinere, n timp util, a informaiilor bazate perezultatele prelucrrii lor; pentru diminuarea efectelor produse de defectele tehnice,fabricanii integreaz n echipamente protecii speciale;

- posibilitatea apariiei unorerori software, la nivelul programelor de aplicaie,care pot conduce la rezultate incorecte, neobservate de ctre utilizator, deoarece acestanu are control direct asupra prelucrrii datelor; pentru depistarea i eliminarea acestuitip de erori, proiectanii integreaz n programele de aplicaie protecii speciale;

- posibilitatea virusrii programelorutilizate (software de sistem sau pentrudezvoltarea de aplicaii sau de utilizator), care poate determina pierderea sau alterareadatelor i/sau programelor, conducnd astfel la imposibilitatea utilizrii lor; pentrueliminarea efectelor determinate de virui se utilizeaz pachete de programe (software)antivirus, puse pe pia de productori software specializai (Norton AntiVirus,MCAfee etc.);

- posibilitatea de apariie a unor erori de manipulare a datelori/sau aprogramelor, care poate determina pierderea i/sau alterarea acestora, nsoit deprelucrri greite, i, implicit, rezultate incorecte care pot trece neobservate att de ctreoperator, ct i de ctre utilizator, deoarece acetia nu au un control direct asupra

prelucrrilor efectuate; pentru reducerea efectelor produse de neglijena sau neatenia nmanipularea datelori/sau programelor se impun msuri adecvate de siguran.

Prin urmare, capacitile de prelucrare i precizia calculatorului nu asigurcorectitudinea rezultatelor unui sistem informatic. Pentru verificarea rezultatelor

prelucrrilor, la nivel de operator sau utilizator, sunt necesare tehnici i mecanismespeciale de audit, asistate sau nu de calculator, integrate sau nu n componentelesistemului de prelucrare automat a datelor utilizat.


8/33

8

Avantajele economice i informaionale oferite de utilizarea sistemelorinformatice n desfurarea activitilor lor sunt mult mai importante pentruorganismele economice dect dezavantajele utilizrii acestor sisteme, motiv pentru careacestea prefer s le foloseasci s ia toate msurile impuse de necesitatea eliminrii,reducerii sau compensrii efectelor dezavantajelor respective.

2. CONTROLUL INTERN NTR-UN SISTEM INFORMATICAuditarea unui sistem informatic const n efectuarea controlului intern n

sistemul informatic respectiv, pentru verificarea corectitudinii rezultatelor prelucrrilorrealizate n interiorul su i a distribuirii acestora numai ctre utilizatorii autorizai, ncazul n care distribuirea se face automat folosind sisteme de calcul.

Pentru efectuarea controlului intern ntr-un sistem informatic, se folosesc msuri,metode i tehnici de verificare a corectitudinii rezultatelor prelucrrilor realizate ninteriorul su, cunoscute, n literatura de specialitate, sub denumirea de controale.Altfel spus, controlul intern ntr-un sistem informatic se realizeaz cu ajutorul

controalelor.Utilizarea unui sistem automat de prelucrare a datelor nu diminueaz importana

controlului intern realizat n vederea asigurrii corectitudinii rezultatelor prelucrrilorefectuate n interiorul acestuia. Apariia i utilizarea sistemelor informatice determinns folosirea unor msuri i metode de control specifice, care se adaug metodelortradiionale de auditare a sistemelor manuale i/sau mecanice de prelucrare a datelor,deoarece posibilitatea de folosire a unui singur calculator pentru efectuarea tuturoroperaiunilor corelate din cadrul unui organism economic impune utilizarea unorcontroale specifice pentru asigurarea proteciei datelor la pierderi sau alterri i pentrudepistarea prelucrrilor eronate, efectuate n interiorul calculatorului. Exemplu:realizarea statului de salarii folosind calculatorul face posibil rezolvarea tuturor

problemelor legate de evidena personalului prin adugarea datelor de evidenrespective la nregistrarea aferent fiecrui angajat; n acest caz, fiierul de personalcuprinde nu numai datele necesare realizrii statului de salarii (salariul de ncadrare,vechimea n munc, sporuri, obligaii ctre bugetul asigurrilor sociale de stat - CAS,omaj, sntate, impozit etc.), ci i date legate de pontaj (prezen, concedii de odihn,concedii medicale), de distribuia costurilor salariale pe compartimente, de studii, delocul de munci funcia ocupat etc.; pentru protecia datelor de salarizare i eviden

personal mpotriva pierderilor voite sau accidentale i/sau modificrilor neautorizate,

accesul n sistemul automat de evideni prelucrare a acestor date este controlat, prinparoli nivel de acces, form de control specific sistemelor automate de prelucrare adatelor.

n literatura de specialitate, controalelesistemelor informatice sunt clasificate ncontroale generalei controale de aplicaie.

Controalele generale sunt msuri de protecie a echipamentelor, datelor iprogramelor care privesc toate aplicaiile unui sistem informatic i pot fi deurmtoarele tipuri:

- controale organizatorice: msuri organizatorice folosite pentru protecia lafraude, neatenie i/sau neglijen;


9/33

9

- documentaie de sistem, folosit pentru verificarea funcionrii sistemului, nconformitate cu cerinele utilizatorului, specificate n proiectul de execuie;

- controale hardware (controale de echipament): msuri de protecie ladefeciunile tehnice;

- controale de siguran (echipamente i fiiere): msuri de protecie la pierdere,distrugere sau alterare, la accesul neautorizat sau la calamiti (ap, foc etc.).

Controalele de aplicaie sunt tehnici de control specifice, integrate n software-ulde aplicaie (utilizator) dintr-un sistem informatic, cu scopul de a asigura corectitudineai protecia datelor stocate n sistemul respectiv i a rezultatelor prelucrrilor efectuateasupra acestor date. Se proiecteazi se realizeaz o dat cu fiecare sistem informatic.

Principalele tipuri de controale de aplicaie sunt:- controale de intrare: msuri de asigurare a corectitudinii intrrilor sistemului;- controale de prelucrare: msuri de asigurare a corectitudinii prelucrrilor

efectuate n interiorul sistemului;- controale de ieire: msuri de asigurare a corectitudinii ieirilor sistemului.Majoritatea erorilor identificate n rezultatele finale ale prelucrrilor efectuate desistemele informatice provin din software-ul de aplicaie (de utilizator) folosit sau din

introducerea eronat a datelor. Din acest motiv, controalele de aplicaie joac un rolmajor n asigurarea unui control intern eficient n sistemul informatic.

2.1. Controale organizatorice n sistemul informaticControalele organizatorice sunt metode i tehnici de organizare a activitilor

desfurate de organismele economice, folosite pentru prevenirea pierderilor i/saualterrilor de date determinate de fraud, neatenie i/sau neglijen, n vedereaasigurrii unui control intern eficient n sistemele de prelucrare a datelor utilizate de

acestea. Principalele tipuri de controale organizatorice sunt: definirea clar a funciilor, urmat de definirea i separarea clar a sarcinilor

angajailor pentru fiecare funcie; rotaia angajailor pe funcii i vacane obligatorii; selecia angajailor care au acces la echipamentele i programele sistemului

informatic i acordarea unui spor de fidelitate.

2.1.1. Definirea clar a funciilor, urmat de definirea i separarea clar asarcinilori responsabilitilor (rspunderilor) angajailor pentru fiecare funcie,joac rolul-cheie n asigurarea controlului oricrui tip de sistem de prelucrare i

eviden a datelor (manual, mecanic, semiautomat sau automat), deoarece protejeazorganismul economic mpotriva pierderilor de date, care conduc la alterarearezultatelor prelucrrilor. Pentru asigurarea unui control intern puternic ntr-un sistemde prelucrare i eviden a datelor (manual, mecanic, semiautomat sau automat) dincadrul unui organism economic, nici un angajat nu trebuie s aib sarcina irspunderea complet pentru efectuarea unei activiti; operaia executat de o

persoan trebuie verificat de o alt persoan, care ndeplinete o alt sarcin, vizavi deactivitatea respectiv. Separarea sarcinilor ntre angajai diferii asigur corectitudineanregistrrilor de date (pe hrtie sau suport magnetic) i a rapoartelor, protejnd


10/33

10

totodat organismul economic respectiv mpotriva pierderilor de date determinate defraude sau neglijene.

Schimbrile produse de utilizarea unui sistem automat de prelucrare a datelor norganizarea activitilor desfurate de un organism economic trebuie s urmreascatt folosirea eficient a echipamentelor i programelor componente ale sistemuluiinformatic, ct i asigurarea unui control intern puternic n cadrul acestuia.

Trecerea de la prelucrarea manual sau mecanic a datelor la prelucrareaautomat a acestora permite unificarea activitilor i integrarea funciilor dintr-undomeniu de activitate, deoarece un singur calculator poate executa, cu uurin, toateoperaiile corelate din cadrul unui organism economic. Acest lucru este posibil, frslbirea controlului intern, pentru c un calculator programat corect nu are posibilitateasau interesul s ascund erorile i de aceea poate efectua orice combinaie de funciiconsiderat incompatibil de un control intern puternic ntr-un sistem tradiional de

prelucrare a datelor (manual sau mecanic). innd cont i de faptul c ntr-un calculatorprogramele i datele se pot modifica fr a putea fi observat acest lucru, se impune

folosirea unor controale organizatorice compensatoare pentru asigurarea siguraneiprogramelor i a datelor n vederea obinerii unor rezultate corecte ale prelucrrilorefectuate n interiorul sistemului informatic. De exemplu, ntr-un sistem manual de

prelucrare a datelor, funcia de nregistrare a plilor, n numerar, este incompatibil cufuncia de verificare a extraselor de cont, deoarece cea de-a doua servete ca metod deverificare pentru prima, atribuirea ambelor sarcini aceluiai funcionar permindacestuia s ascund erorile. Dac cele dou funcii, de nregistrare a plilor i deverificare a extraselor de cont, sunt efectuate de un calculator, ele devin compatibile,deoarece calculatorul, programat corect, nu ascunde erorile. Dar, un programator poatemodifica programul astfel nct s fie nregistrat o plat fr baz real, motiv pentrucare acesta nu trebuie s ndeplineasci funcia de nregistrare a plilor.

Pentru folosirea eficient a fiecrui calculator din dotare, organismele economicecombini concentreaz funciile de prelucrare a datelor la nivelul unui compartimentspecializat, numit departament de informaticsau centru de calcul sau centru de

prelucrare automat a datelor. Dac funciile combinate i/sau concentrate la niveluldepartamentului de informatic sunt considerate incompatibile din punctul de vedere alunui control intern puternic, se realizeazcontroale organizatorice compensatoare lanivelul planului de organizare al departamentului informatic respectiv, deoarece ntr-un sistem informatic programele i datele pot fi schimbate, fr a se observa

modificarea lor. Planul de organizare al departamentului informatic trebuie astfelconceput nct s previn intervenia neautorizat a factorului uman n procesul deprelucrare automat a datelor, s previn accesul neautorizat al personalului laechipamentele, programele sau datele sistemului informatic. Acest lucru poate firealizat prin definirea clar a funciilor n departament i prin definirea i separareaclar a sarcinilor angajailor pentru fiecare funcie. De exemplu, un program utilizat sfac pli poate fi proiectat s aprobe plata unui furnizor de materiale sau servicii numaidac factura de plat a fost emis pe baza unei comenzi i dac exist o not derecepie. Dar un angajat care are dreptul s fac modificri n programul de aplicaie

poate efectua plai, fr baz real, ctre anumii furnizori, dac planul de organizare aldepartamentului informatic respectiv i permite s faci pli.


11/33

Un exemplu de structur organizatoric pentru un departament de informatic,bine definit din punctul de vedere al unui control intern puternic, cu definirea clar afunciilor, prin separarea clar a sarcinilor i responsabilitilor angajailor pentrufiecare funcie, este prezentat n figura urmtoare:

11

DEPARTAMENT DE INFORMATIC

Directorul departamentului de informatic (managerul) are sarcinile de acoordona activitatea departamentului de informatici de a autoriza tranzaciile pentru

prelucrarea automat a datelor; dac, din punct de vedere organizatoric, nu esteconstituit un compartiment specializat de informatic, aceast funcie poate lipsi.

Administratorul sistemului informatic aresarcinilede a supraveghea prelucrareacorect a datelori stocarea (memorarea) acestora n sistem.

Grupul de analiz (proiectanii), care exist numai n cazul organismeloreconomice cu domeniu de activitate specific sau cu putere economic mare avnd , n

principal, urmtoarele sarcini de proiectare i realizare a sistemului informatic:- analiza sistemului informatic existent, dac exist;- definirea obiectivelororganismului economic i a nevoilor de calcul aferente

diferitelor compartimente ale acestuia: definirea cerinelor utilizatorului: la acest nivel se stabilesc datele pe care

utilizatorul dorete s le prelucreze automat, prelucrrile care se efectueaz asupraacestora i rezultatele lor, pornind de la sistemul de eviden folosit (manual, mecanic,semiautomat etc.);

prezentarea, n detaliu, a rezultatelor pe care trebuie s le ofere SistemulInformatic utilizatorilor si; stabilete ce trebuie s fac Sistemul Informatic, nu cumva face (cum va realiza rezultatele pe care trebuie s le ofere utilizatorului);

prezentarea cerinelor pe care trebuie s le ndeplineasc produsul software deaplicaie i condiiile pe care trebuie s le respecte;

- stabilirea mijloacelornecesare pentru realizarea sistemului informatic;- descrierea sistemului informatic, folosind diagrame i instruciuni detaliate.Grupul de programare (programatorii),care exist numai n cazul organismelor

economice cu domeniu de activitate specific sau cu putere economic mare i areurmtoarele sarcini:

- realizarea schemelor logice necesare pentru scrierea programelor careruleaz pe calculator, bazndu-se pe specificaiile ntocmite de grupul de analiz;

ControlPregtire dateArhivareExploatareProgramareAnaliz

Director

Administrator sistem informatic

Conducere Departament informatic


12/33

12

- scrierea (codificarea) programelorcerute, folosind limbaje de programarespecializate (VisualBasic, SQL, C++) cu compilatoarele aferente, SGBD-uri (FoxBase,Access, Oracle) i programe utilitare;

- verificarea programelorfolosind ca date de test fie nregistrri originale, fienregistrri mostri corectarea erorilor de programare, dac este cazul;

- ntocmirea documentaiei necesare instalrii aplicaiei software i utilizriiacesteia (instruciunile de instalare pe calculatori de operare).

Grupul de exploatare (operatorii)are urmtoarele sarcini:- folosirea aplicaiei software, n conformitate cu instruciunile scrise de

programatori;- sesizarea i corectarea erorilor semnalate n timpul rulrii programului;

sistemul de operare i sistemul informatic se programeaz s pstreze o list detaliat atuturor interveniilor operatorului.

Grupul de arhivare programe i date (fiiere de programe i de date) aresarcinile de crearei ntreinere a arhivelor de programe i de date (de referin) pentru

a evita pierderea, distrugerea, folosirea neautorizat sau alterarea; dac arhivarea seface pe calculator, operatorii sau utilizatorii sistemului informatic au acces laprogramele i datele arhivate pe baz de parole de acces; calculatorul va menineautomat un jurnal n care sunt notate datele de identificare a operatorului sauutilizatorului acestora i momentele de folosire (an, lun zi, or, minut i secund).

Grupul de pregtire a datelor: aresarcinile de pregtire i verificare a datelorintroduse n sistem, n vederea prelucrrii.

Grupul de controlare urmtoarele sarcini:- verifici testeaz toate procedurile de introducere a datelor;- monitorizeaz prelucrarea automat a datelor, folosind calculatorul;- verific rapoartele de erori nregistrate de sistemul informatici efectueaz

teste de identificare a cauzelor de apariie a acestora;- verific rezultatele prelucrrilori le distribuie ctre utilizatori;- verific jurnalul interveniilor operatorilor, jurnalul utilizrii bibliotecii de

programei arhivelor de datei programe.

Structura organizatoric a fiecrui organism economic i numrul angajailor despecialitate disponibili determin gradul de separare a sarcinilor legate de proiectareai/sau realizarea i exploatarea unui sistem informatic. Ca un minim necesar, funcia de

programator, care necesit cunotine detaliate despre programul de aplicaie folosit,

trebuie separat de funcia de operator, care deine controlul intrrilor n programulrespectiv. Dac structura organizatoric a unui organism economic, care folosetepentru evidena i controlul activitilor sale un sistem informatic, permite unui angajats realizeze att sarcini de programator, ct i de operator, se slbete controlul intern,existnd permanent posibilitatea de fraud. Separarea activitii de exploatare de cea de

programare este foarte important din punct de vedere al asigurrii unui control interneficient, deoarece un angajat care realizeaz ambele funcii poate face schimbrineautorizate n programul sistemului informatic, producnd fraude. Istoria fraudelorcomputerizate arat c, de cele mai multe ori, persoanele implicate au intervenit nsistemul informatic, ca programatori operator, controlnd folosirea lui. De exemplu,dac programatorul care a scris programul de identificare i listare a tuturor conturilor


13/33

13

clienilor ce extrag sume de bani mai mari dect limitele admise are acces la sistemulinformatic al bncii ca operator, el poate modifica programul astfel nct depirealimitei de extragere admis s fie ignorat, n cazul propriului su cont. Programatoruloperator poate astfel extrage sume de bani din contul su, fr ca sistemul informaticutilizat s semnaleze administratorului acest lucru. Frauda nu poate fi descoperit pncnd programul nu este revizuit de un alt programator sau pn cnd calculatorul nu sedefecteazi lista conturilor cu depiri de limit trebuie pregtit manual.

Dac structura organizatoric a unui organism economic permite accesulpersonalului de exploatare a sistemului informatic la activele organismului economic

respectiv, se slbete, n mod serios, controlul intern, n cazul n care nu suntimplementate msuri de control (controale organizaionale) compensatorii.

De exemplu, dac acelai angajat ine att evidena activelor unui organismeconomic folosind un sistem informatic, ct i pstrarea (gestiunea) fizic a acestora,

prin combinarea responsabilitilor corespunztoare celor dou sarcini se creeazposibilitatea ca angajatul respectiv s ascund sustragerea de active (bani, marf etc.).

De aceea, organismele economice care folosesc sisteme informatice pentru evidenacomputerizat a activelor trebuie s limiteze, pe ct posibil, accesul personalului deexploatare la activele respective. Totui, personalul de exploatare al unui sisteminformatic poate avea:

- acces direct la active; exemplu: dac sistemul informatic este folosit pentrutiprirea cecurilor (acces direct la sume de bani);

- acces indirect la active; exemplu: dac sistemul informatic este folosit pentrua genera ordine de livrare cu autorizarea de eliberare a mrfii (acces direct la marfa delivrare).

Ca msur de control compensatorie se pot folosi documente i totaluri pe loturi,lista cu numrul de documente i totalul datelor semnificative pentru fiecare lot fiind

pregtite n dou departamente diferite ale organismului economic respectiv, pentrucompararea rezultatelor. De exemplu, departamentul care autorizeaz tiprireacecurilor trebuie s ntocmeasc o list cu numrul total de cecuri i suma autorizat

pentru fiecare, tiprirea acestora fcndu-se n alt departament care, la rndul lui,ntocmete o list cu numrul de cecuri tiprite i suma aferent fiecruia. Pentrufiecare lot, se compar totalurile realizate independent de cele dou departamentediferite ale organismului economic respectiv: totalul calculat nainte i dup eliberareacecurilor. Controalele compensatorii nu pot elimina, n ntregime, riscul rezultat din

faptul c personalul de exploatare a sistemului informatic are acces, direct sau indirect,la activele organismului economic. Din acest motiv, auditorii trebuie stie c, acolounde personalul de exploatare a sistemului informatic are acces la active, frauda careimplic utilizarea calculatoarelor poate fi mai mare dect n alte cazuri.

2.1.2.Rotaia, pe funcii, a angajailorcare au legtur cu sistemul informaticimplementat de un organism economic se face cu scopul de a evita schimbrileneobservabile de date i programe efectuate n calculator, fie din interes (fraud), fiedin neatenie sau neglijen. Planul de organizare al unui departament de informatictrebuie s includ un mecanism de rotaie a sarcinilor i vacane obligatorii pentru

angajaii si, pentru c schimbarea programatorilor sau operatorilor (ntre ei) faciliteaz


14/33

14

descoperirea modificrilor accidentale sau neautorizate de date i programe. Rotirea, pefuncii, a angajailor care se ocup cu prelucrarea i evidena datelor asigur un controlintern eficient n orice tip de sistem de prelucrare i eviden a datelor folosit de unorganism economic, programelor din sistemele informatice corespunzndu-le nsistemele tradiionale documentele scrise.

2.1.3. Selecia angajailor care au acces la echipamentele i programelesistemului informatic folosit de un organism economic, precum i la datele vehiculaten cadrul acestuia, trebuie fcut pe baza unor criterii care elimin, pe ct posibil,

posibilitile de fraudi producerea erorilor din lipsa cunotinelor profesionale, dinneatenie sau neglijen; personalul de ntreinere i exploatare trebuie ales cu grij,

pentru a reduce posibilitatea de distrugere intenionat produs de un angajatnemulumit.

Principalele criterii de selecie a personalului care are legtur cu sistemulinformatic sunt:

- nivelul de pregtire profesional dovedit prin: diplome de studii, pregtireteoretici ndemnare practic, experien dobndit n timp (vechime n domeniu),calificative obinute la locurile de munc anterioare etc.;

- moralitate i seriozitate demonstrate prin: cazier judiciar, nscrisurile dindocumentele de angajare (frecvena i motivele de schimbare a locurilor de munc),recomandri de la locurile de munc anterioare i/sau de la ali specialiti n domeniu(profesori, colegi, cunotine) etc.;

- fidelitatea fa de organismul economic la care lucreaz.Selecia atent a personalului care se ocup cu prelucrarea i evidena datelor din

cadrul unui organism economic este foarte important n realizarea unui control intern

eficient, indiferent de tipul sistemului de prelucrare i eviden a datelor utilizat(manual, mecanic, semiautomat sau automat). Planul de organizare al unui organismeconomic, cu sau fr departament de informatic, trebuie s includ un spor defidelitate pentru angajaii si care lucreaz n domeniul informatic pentru a evitafraudele computerizate, greu de depistat i foarte periculoase pentru evoluiaorganismului economic respectiv.

Concluzie. Controalele organizaionale joac rolul-cheie n asigurarea unuicontrol intern puternic n cadrul unui sistem informatic, n vederea prevenirii fraudelor,care au implicaii majore asupra evoluiei oricrui tip de organism economic. Ele suntdestul de eficiente n prevenirea fraudelor produse de un singur angajat, dar nu pot

preveni fraudele n complicitate, foarte dificil de depistat. Dac un angajat-cheie alorganismului economic conspir cu ali angajai n vederea comiterii unei fraude,controalele organizaionale interne care se bazeaz pe separarea sarcinilor i rotireaangajailor pe funcii devin inoperante. De exemplu, dac persoane de conducere iangajai ai unui organism economic fac tranzacii fictive i ntocmesc documente falsecare susin aceste activiti, cu scopul de a induce n eroare auditorii i organismele decontrol abilitate, orice structur organizatoric de control este ineficient. Dac nu suntdescoperite n timp util, fraudele n complicitate conduc la falimentul organismuluieconomic respectiv.


15/33

15

2.2.DocumentaiasistemuluiinformaticControlul intern eficient ntr-un sistem informatic impune ntocmirea i

ntreinerea unei documentaii care trebuie s cuprind:- aprobrile pentru realizarea sistemului informatic iniial i pentru toate

modificrile ulterioare ale acestuia;- documentaia complet, care s descrie, n detaliu, sistemul informatic i

procedurile folosite de acesta pentru prelucrarea i evidena datelor.Documentaia complet, bine ntocmit, a sistemului informatic creeaz

condiiile de asigurare a unui control intern eficient, prin faptul c:- pune instruciunile de operare la dispoziia tuturor utilizatorilori operatorilor

sistemului informatic, pentru eliminarea, pe ct posibil, a erorilor de operare;- pune programele surs la dispoziia programatorilor, pentru a crea

posibilitatea de revizuire i adaptare ulterioar a sistemului informatic la nevoile decalcul i de control intern ale organismului economic respectiv;

- pune logica de programare a sistemului informatic la dispoziia auditorilor,pentru a permite identificarea schimbrilor efectuate n sistemul informatic respectiv ia controalelor prevzute prin program.

Documentaia sistemului informatic trebuie s cuprind:- descrierea complet i inteligibil a sistemului de prelucrare a datelor,

inclusiv a diagramelor de sistem;- descrierea naturii intrrilori ieirilor;- descrierea operaiilor efectuate asupra datelor;- responsabilitile pentru introducerea datelor, corectarea i reprocesarea

datelor eronate, realizarea sarcinilor de control etc.Documentaia complet a unui sistem informatic este format din:- Manualul de operare sau de utilizare, pentru uzul utilizatorului i

operatorului, care conine instruciuni de: pregtire date pentru prelucrare i introducere n sistem; configurare i folosire terminale i echipamente periferice (monitoare, imprimante); ntreinere programe componente i date stocate (nregistrate) n interiorul sistemului.

- Documentaia programului, care conine o descriere complet a fiecrui programcomponent al sistemului informatic respectiv i care trebuie s includ cel puin:

prezentarea, n detaliu, a obiectivelor fiecrui program; diagramele logice i paii importani, pentru fiecare program; lista i explicaia controalelor asociate fiecrui program; descrierea modului de organizare i de arhivare a datelor; exemple de ieiri, inclusiv liste de erori; listing-uri de program, n limbaj-surs; manualul cu instruciunile de folosire, pentru fiecare program; datele folosite pentru testarea i depanarea fiecrui program.Documentaia complet a sistemului informatic este necesar analitilor de

sistem, ingineri de sistem i programatori analiti, pentru depanare sau realizarea unormodificri. Operatorii calculatorului trebuie s aib acces numai la manualul de

operare, care conine instruciunile pentru introducerea datelor n sistem i pentru


16/33

16

prelucrarea acestora. Dac operatorii au acces la informaii de detaliu cu privire lasoftware-ul de aplicaie utilizat, cresc probabilitatea i posibilitatea ca acetia sefectueze schimbri neautorizate n programul respectiv, care stau la baza fraudelorcomputerizate, cele mai periculoase pentru un organism economic.

Documentaia complet a sistemului informatic utilizat de un organismeconomic este utili auditorilor de sisteme informatice, pentru:

- determinarea logicii de prelucrare folosite de sistemul informatic auditat, nvederea identificrii eventualelor erori de prelucrare produse n interiorul lui;

- determinarea schimbrilor (modificrilor) efectuate n sistemul informaticauditat, dup instalarea acestuia;

- identificarea controalelor integrate n sistemul informatic auditat.n plus, informaiile cuprinse n documentaia unui sistem informatic ajut

auditorii n dezvoltarea de teste sau programe generalizate de audit, necesare pentrutestarea sistemelor de prelucrare automat a datelor utilizate de clienii lor.

Concluzie. Documentaia sistemului informatic este indispensabil utilizrii,

dezvoltrii i auditrii acestuia.2.3.Controale hardwareEchipamentele digitale, componentele hardware ale sistemelor moderne de

prelucrare automati de eviden a datelor au, din construcie, o precizie foarte marei o fiabilitate foarte bun; prin urmare, tolerana de calcul nu produce erori nrezultatele finale ale prelucrrilor efectuate, iar defeciunile tehnice care determinalterri i/sau pierderi masive de date i programe sunt puine.

Pentru evaluarea corect a fiabilitii echipamentelor digitale utilizate laimplementarea unui sistem informatic, n vederea prevenirii pierderilor (de date i

programe) i reducerii erorilor (n rezultatele finale ale prelucrrilor) produse deposibilele defeciuni tehnice ale acestor echipamente, economitii, inclusiv auditorii,trebuie s cunoasc controalele integrate de fabricant n fiecare tip de echipament, caresunt ntlnite n literatura de specialitate sub numele de controale hardware.

Cele mai ntlnite controale hardware sunt:

2.3.1. Ecoul: const ntr-un semnal pe care echipamentul periferic l trimite(returneaz) ctre unitatea central de prelucrare, dac a recepionat corect dateletransmise de aceasta; prin ecou se verific dac echipamentul periferic se comport nconformitate cu instruciunile primite de la unitatea central de prelucrare.

2.3.2. Autodiagnoza: const n folosirea unor tehnici i proceduri hardwarepentru testarea propriilor circuite; majoritatea echipamentelor moderne, care fac partedin sistemele de prelucrare automat a datelor, conin tehnici sau proceduri deautodiagnoz; exemplu: identificarea circuitelor de interfa sau modulelor de memoriedefecte, nainte ca sistemul s poat fi considerat valid, permind astfel utilizatoruluis evite utilizarea unui sistem defect (Post- Power On Self Test).

2.3.3. Verificarea prin duplicare: const n realizarea fiecrei operaii de dou orii compararea rezultatelor; n procesul dublu de verificare, cunoscut sub numele decitire dup scriere, calculatorul citete datele, dup transferarea lor n sistem, i leverific corectitudinea.


17/33

17

2.3.4. Verificarea paritii: const n controlul sau verificarea paritii ntr-unsistem de calcul digital, modern, care prelucreaz datele n serii de bii (cifrele binare 1i 0); controlul paritii se face prin compararea valorilor bitului de paritate, calculatenainte i dup un transfer de date, pentru a verifica dac bii de date s-au modificat pedurata transferului; bitul de paritate, care conine suma tuturor biilor de 1(unu) pari sauimpari, n funcie de construcia fiecrui echipament digital, este adugat de fabricant la

biii de date folosii pentru reprezentarea numerelor sau caracterelor alfanumericetransferate ntre componentele unui sistem digital de calcul.

Concluzie. Asigurarea funcionrii corespunztoare a hardware-ului unui sistemmodern de prelucrare automat a datelor, n vederea evitrii pierderilor sau alterrii dedate i programe, determinate de apariia unor defeciuni tehnice, impune nu numaifolosirea controalelor hardware prevzute de fabricantul echipamentelor, ci i aplicareaunui mecanism de ntreinere preventiv conceput de ctre organismul economic careutilizeaz sistemul informatic respectiv. Auditorii de sisteme informatice trebuie scunoasc nu numai controalele hardware integrate de fabricani n echipamente, ci i

msurile de ntreinere preventiv folosite, mpreun cu modul de aplicare a acestora.2.4. Controale de siguran

Fiecare sistem automat de prelucrare a datelor trebuie s dispun de controalepentru asigurarea siguranei:

echipamentelor componente (hardware), pentru a nu fi deconfigurate(accidental sau voit), descompletate i/sau distruse;

programelori fiierelor de date, pentru a nu fi pierdute, alterate, distruse sauaccesate de personal neautorizat; aceste evenimente se pot produce accidental sau voit.

Programele, componentele software ale sistemelor informatice moderne potproduce erori n rezultatele finale ale prelucrrilor efectuate automat i n evidenelecomputerizate, deoarece pot fi distruse sau alterate cu uurin, accidental sau voit,

blocnd accesul utilizatorilor la volumele mari de date stocate n sistem i, implicit, lainformaiile obinute prin interpretarea rezultatelor prelucrrilor efectuate asupraacestora; de asemenea, permit foarte uor distrugerea, alterarea sau pierderea, acciden-tal sau voit, a bazelor de date stocate i gestionate de sistemul informatic, n con-diiile n care cel mai mare volum de munc rezid n crearea i ntreinerea acestora.

Principalele tipuri de controale de siguran utilizate pentru protecia unui sisteminformatic sau a componentelor acestuia, hardware sau software, sunt:

2.4.1. Programarea sistemului de operare al fiecrui calculator: s ntocmeasc un jurnal al utilizrii tuturor echipamentelor periferice

accesibile (ultimele utilizri); aceasta asigur identificarea momentului ultimei utilizricorecte i apariiei primului incident n utilizarea fiecrui echipament periferic n parte;exemplu: indic momentul n care s-a utilizat pentru ultima dat o imprimant imomentul n care aceasta a fost deconectat de la calculator (descompletareasistemului);

s emit un semnal de atenionare, dac se fac tentative de acces repetat nsistem, prin folosirea unor parole incorecte, sau tentative de efectuare a unor operaii

care pot distruge datele sau pot genera anomalii n funcionarea sistemului respectiv;


18/33

18

exemplu: utilizatorul este atenionat de sistemul de operare c operaia de formatare aunui disc magnetic (HardDisk, FloppyDisk etc.) determin pierderea programelori/sau datelor stocate pe acesta, dndu-i posibilitatea s le salveze nainte de efectuareaoperaiei respective.

2.4.2. Accesulutilizatorilor n sistemul informaticpe baz pe nivele de acces i

parol individual secret; permite numai personalului autorizat s utilizezeprogramele componente i datele stocate n sistem; exemplu: ntr-un sistem deprelucrare distribuit, n care datele pot fi alterate din orice locaie de unde se poateaccesa sistemul, la fiecare punct de lucru sunt necesare msuri suplimentare de controlal accesului, pe baz de parole i nivele de acces, pentru a preveni distrugerea datelorstocate n sistem i a evita pierderea ncrederii utilizatorilor n informaiile obinute pe

baza rezultatelor oferite de ntregul sistem.2.4.3. Crearea funciei de administrator al bazei de date, pentru protejarea

acesteia la accesul neautorizat, de ctre organismele economice care utilizeaz sistemeinformatice tip baz de date, administratorul unei baze de date are sarcina principal deadministrare a accesului la baza de date, deoarece, din punctul de vedere al controluluiintern ntr-un astfel de sistem, este foarte important ca baza de date s fie protejatmpotriva accesului neautorizat; exemplu: administratorul bazei de date a clienilor(fiierul clienilor), care conine toate datele de identificare i despre activitatea fiecruiclient n parte, folosite de secretariat (pentru ntocmirea contractelor), la departamentulde vnzri (pentru evidena activitii clienilor respectivi), la serviciul contabilitate(pentru evidena plilor efectuate de acesta) etc., gestioneaz accesul utilizatorilor la

baza de date respectiv.

2.4.4. Programarea fiecrei componente a software-ului de aplicaie utilizat desistemul informatic:

s emit un semnal de atenionare, dac se fac tentative repetate de acces(prin folosirea unor parole incorecte), dac se ncearc efectuarea unor operaii care potdistruge datele sau pot genera anomalii n funcionarea sistemului respectiv; exemplu:

programul de aplicaie atenioneaz utilizatorul, printr-un mesaj, c operaia careurmeaz a se efectua asupra datelor poate fi produs de un virus care le distruge,lsndu-i posibilitatea de a decide dac operaia respectiv este sau nu cea programat;

s ntocmeasc o list a celor mai receni utilizatori: nume, parol, data i oraaccesului; aceasta permite identificarea momentelor cnd s-au produs incidente i a

utilizatorilor care, prin modul de operare, determin anomalii n funcionarea Sistemuluiinformatic, pierderi sau alterri de programe sau date, cu scopul de a afla informaii legatede incidentele respective, n vederea stabilirii posibilitilor de refacere a sistemului, i dese ridica dreptul de acces tuturor celor care nu-l exploateaz corect;

s ntocmeasc o list cu ultimele operaii efectuate de fiecare utilizator; princonsultarea acestei liste se identific operaia sau secvena de operaii care produceanomalii n funcionarea sistemului informatic, pierderi sau alterri de programe i/saudate, n vederea efecturii coreciilor care se impun.

2.4.5. Crearea unor copii de siguran pentru toate componentele software

utilizate de sistemul informatic (fiiere de date i programe etc.), lucru care permite


19/33

19

refacerea acestora, dac sunt pierdute sau alterate. Din motive de securitate, copiile desiguran se depoziteaz n locaii separate de original. De exemplu:

benzile sau discurile magnetice, folosite pentru stocarea pe termen lung adatelori programelor de aplicaie, pot fi afectate de expunerea la cldur excesiv saula un cmp magnetic sau, puri simplu, de trecerea timpului; de aceea, se recomandcrearea a 2 (dou) copii de siguran simultan i transferul periodic al arhivelor de datei programe de pe un suport magnetic pe altul; pentru siguran, bazele de date trebuiemutate, la intervale regulate de timp, pe alte discuri sau benzi magnetice; cel mai fiabilsuport pentru stocarea pe termen lung este, n prezent, CD-ul;

n timpul utilizrii, orice fiier (de date sau program) poate fi ters, dingreeal, sau poate fi distrus, n orice moment, de un virus; pentru refacerea rapid afiierelor pierdute sau distruse accidental, se recomand pstrarea (salvarea) unei copiide siguran (ultima versiune corecti/sau complet) n sistem (pe HardDisk) i/sau nexteriorul acestuia (pe FloppyDisk sau pe CD); exemplu: n sistemele de procesare nloturi, fiierele care sunt actualizate periodic, numite fiiere master, se salveaz

respectnd principiul de salvare numit bunic tat fiu, potrivit cruia fiierul mastercurent actualizat este fiul, fiierul master utilizat n actualizare (care a produs fiul) estetatl i fiierul anterior tatlui este bunicul; cele trei generaii de fiiere de date se vordepozita n locaii diferite, pentru a minimiza riscul pierderii tuturor;

n timpul funcionrii, orice sistem de calcul se poate defecta, producndpierderea sau distrugerea fiierelor stocate (memorate) n sistem (pe HardDisk); deaceea, pentru prevenirea pierderilor masive de date i programe produse de defeciuniletehnice, se recomand arhivarea acestora pe suport magnetic extern (FloppyDisk,CD-ROM, CD- RW, USB- flash etc.).

2.4.6. Msuri de protecie la accidente sau sabotaj (foc, ap, distrugere etc.),care previn distrugerea accidental sau deliberat a sistemului informatic, n ntregulsu, care constau, de regul, n:

limitarea accesului, n aria de desfurare a activitii, numai pentrupersonalul autorizat; intrrile n locaiile destinate sistemului informatic trebuie s fiecontrolate de ageni de paz sau activate pe baz de cartel de acces;

construirea locaiilor destinate sistemului informatic (camera calculatorului)din materiale rezistente la foc, deasupra nivelului probabil de inundaie i dotareaacestora cu aer condiionat, pentru a evita apariia defectelor tehnice i a preveni

deteriorarea suporilor magnetici de stocare a datelori programelor (benzi sau discurimagnetice) prin asigurarea unei temperaturi i umiditi corespunztoare n spaiul lorde funcionare.

Concluzie. Fr implementarea msurilor de siguran adecvate (controale desiguran) nu este posibil asigurarea unui control intern eficient ntr-un sisteminformatic, deoarece acestea protejeaz la distrugere, alterare sau acces neautorizat attsistemul, n ansamblul su, ct i componentele acestuia.

2.5. Controlul intrrilorControlul intrrilor const n tehnici de verificare a datelor primite pentru

prelucrare, la introducerea acestora n sistemul informatic. Aceste tehnici, numite


20/33

20

controale de intrare, permit introducerea n sistemul informatic numai a datelor caresunt autorizate, corecte i complete din punctul de vedere al evidenei i controluluiactivitilor desfurate n cadrul organismului economic sau compartimentuluispecializat al acestuia pentru care s-a proiectat sistemul respectiv.

2.5.1. Autorizarea introducerii datelor n sistemul informatic prin

implementarea unor controale de acces specifice care dau dreptul de autorizare numai:- personalului departamentului la care s-a ntocmit documentul de eviden icontrol (suport material sau) pe care sunt nregistrate datele iniial; exemplu:Contractul/Comanda de vnzare/cumprare, Factura de vnzare/cumprare, Cererea dedeschidere cont/acordare credit etc.; de regul, personalul departamentului caregestioneazi prelucreaz datele stocate (pstrate) ntr-un sistem de tip baz de date nueste autorizat s introduc date n sistemul respectiv; exemplu: angajaiidepartamentului de vnzare nu sunt autorizai s introduc n sistemul de prelucrareautomat datele de pe facturile ntocmite de ei;

- personalului cu nivelul de acces corespunztor, pentru sistemele on-line n caredatele se introduc direct, de la terminale aflate n locaii diferite, la distan de sistemulde calcul n care sunt stocate i/sau prelucrate;

2.5.2. Validarea intrrilor const n aplicarea unor tehnici de verificare acorectitudinii i completitudinii datelor, pe msura introducerii lor n sistemulinformatic; aceste tehnici, controale de validitate, pot fi de urmtoarele tipuri:

test de limit: verific corectitudinea datelor prin verificarea ncadrriiacestora ntre limitele (inferioar i/sau superioar) prestabilite pentru fiecare tip dedate, pe baza regulilor de gestiune proprii organismului economic sau legislaiei nvigoare; exemplu: salariul brut al unui angajat salariul minim brut pe economie;

test de validitate: verific autenticitatea datelor care se introduc n sistem,prin compararea lor cu valorile predefinite pentru tipul respectiv de date, memoratentr-un tabel numit tabel master; spre exemplu, Marca unui angajat trebuie s fac partedin mulimea mrcilor din tabelul master aferent, definit n sistem;

numr de autocontrol: verific precizia unui numr la introducerea n sistemsau dup ce a fost transmis de la un terminal la altul, prin memorarea unei informaiiredundante; exemplu: ultimele dou cifre trebuie s fie suma celorlalte;

mecanism de testare dubl: verific corectitudinea unei date prinintroducerea acesteia n sistem de dou ori, n mod independent; exemplu: CNP-ul unui

angajat; documentele surs (suport material) convertite n formate citibile de ctremain (suport electronic - fiier).Validarea intrrilor, prin aplicarea unor tehnici de verificare asupra datelor, la

introducerea lor n sistem, asigur: corectitudinea datelor: sunt acceptate numai datele corecte, care trec testele

de verificare, fiind rejectate toate cele care nu ndeplinesc condiiile impuse de testelede verificare respective;

completitudinea datelor: sunt identificate datele care lipsesc i sunt solicitate,pn cnd sunt introduse, ntruct absena lor nu permite obinerea rezultatelor sauevidenelor corecte pe care trebuie s le ofere sistemul informatic utilizatorilor si(situaii, liste, rapoarte etc.) n vederea fundamentrii deciziilor sau pentru informare.


21/33

21

Exemplu: asigurarea corectitudinii i completitudinii datelor introduse nsistemele cu prelucrare pe loturi se poate face prin implementarea urmtoarelor tipuride controale de validare a intrrilor:

- nregistrarea secvenei de serii i numere a documentului surs care coninelotul de date i implementarea unor teste specifice de identificare a elementelor din lotcare s determine solicitarea datelor pierdute sau eliminarea celor adugate; exemplu:nregistrarea secvenei de serii i numere aferente facturilor de vnzare/cumpraredintr-o lun;

- nregistrarea numrului de date dintr-un lot i implementarea unui test care lcompar cu numrul de date introduse n sistem; exemplu: numrul angajailor unuiorganism economic;

- controlul TOTALULUI, pentru fiecare tip de date numerice dintr-un lot, prinimplementarea unui test de comparare a totalului calculat, dup introducerea tuturordatelor din lot, cu totalul calculat, pe msura introducerii acestora n sistem; n acestcaz , TOTALUL are semnificaia intrinsec dat de semantica denumirii care i s-a

atribuit; exemplu: totalul vnzrilor/cumprrilor, pentru un lot de comenzi;- controlul TOTALULUI HASH se deosebete de controlul TOTALULUIprin aceea c nu are o semnificaie intrinsec, dar este folosit n acelai mod; exemplu:suma Codurilor Numerice Personale (CNP) ale angajailor care trebuie introdui pentru

procesare ntr-un program de salarizare.Concluzie. ntruct majoritatea erorilor identificate n rezultatele finale ale

prelucrrilor sau evidenelor efectuate de sistemele informatice provin din introducereaeronat a datelor, nu se poate asigura un control intern puternic n cadrul unuiasemenea sistem fr implementarea unor controalele de intrare eficiente.

2.6. Controlul procesriiControlul procesrii, care asigur fiabilitatea i precizia prelucrrilor efectuate

asupra datelor introduse n sistemul informatic, const n folosirea urmtoarelor tipuride controale:

2.6.1. Controale de program, integrate n programul de aplicaie, care pot fi:- controale de intrare, implementate sub form de controale de procesare: teste

de limite, teste de validitate, numere de autocontrol, numr de nregistrri, totaluri itotaluri de tip HASH;

- etichete externe: identific n mod unic fiierele de date folosite n fiecare tipde prelucrri, pentru a preveni greelile de utilizare a acestora; exemplu: fiierul cuetichetaAngajat, care conine datele angajailor unui organism economic folosite pentruidentificarea i retribuirea acestora, este utilizat la ntocmirea statului de plat lunar;

- etichete interne care, mpreun cu etichete externe, previn greelile deutilizare a fiierelor de date n prelucrri; exemple: eticheta header(mesaj nregistrat lanceputul fiierului, n limbaj cod main, citibil pe o band magnetic sau pe un hard-disc, folosit pentru a identifica fiierul i data crerii sale) i eticheta end of file (mesajnregistrat la sfritul unui fiier, care conine informaii de tipul numrului denregistrri din fiierul de date sau totalul de control).


22/33

22

2.6.2. Jurnale de activitate sau de prelucrare, care se pun la dispoziiapersonalului autorizat sau grupului de control din cadrul organismului economic sauDepartamentului de informatic constituit n cadrul acestuia, dac exist, pentru analizaactivitilor desfurate de sistemul de prelucrare automat a datelor, i care descriu:

- activitatea fiecrui operator: secvena de operaiuni efectuate;- fiecare execuie a programului (rulare): timpul de execuie, blocajele mainii,

interveniile operatorului de la consola sistemului (tastatur), fiierele master utilizate etc.

2.6.3. Liste de erori, care se tipresc n cazuri excepionale, cnd sistemuldetecteaz erori grave i oprete sau nu prelucrarea. Listele de erori se transmit directgrupului de control al organismului economic care utilizeaz sistemul informaticrespectiv, pentru investigaii i remedierea anomaliilor de funcionare identificate.Dup efectuarea coreciilor, grupul de control verific corectitudinea prelucrrilor ieliminarea erorilor raportate de sistem.

Concluzie. Pentru asigurarea unui control intern puternic i eficient, controalelede program pun la dispoziia grupului de control al organismului economic, autilizatorilor i/sau auditorilor unui sistem informatic, mecanisme de verificare a

prelucrrilor efectuate n interiorul acestuia, compensnd faptul c nu d acces directcelor interesai la prelucrrile respective pentru a le verifica corectitudinea i/saucompletitudinea. n plus, se impune, ca msur de control, monitorizarea activitiioperatorilor, cu scopul de a-i identifica pe cei care fac greeli i a le ridica dreptul deacces n sistemul informatic.

2.7. Controlul ieirilorControlul ieirilor const n msuri i tehnici de verificare a corectitudinii

rezultatelor oferite de sistemul de prelucrare automat a datelor utilizatorilor si.Acestea pot fi:

2.7.1. Controale ale utilizatorului, care constau n: compararea rezultatelor sistemului, prezentate sub form de liste, rapoarte,

situaii etc. cu cerinele definite de utilizator; exemplu: compararea periodic a totalurilorgenerate automat de un sistem informatic de salarizare cu totalurile, generate n faza deintroducere a datelor, manual sau folosind alt sistem informatic de acelai tip;

analize i teste efectuate de utilizatori specializai; exemplu: corectitudineafacturilor de vnzare generate de sistemul informatic, din punctul de vedere al

ntocmirii i al preurilor, trebuie verificat de un contabil.2.7.2. Controale de program, care analizeazi testeaz automat corectitudinea

ieirilor sistemului informatic n raport cu cerinele definite de utilizatori. Sunt maieficiente dect controalele utilizatorului, pentru c, fiind integrate n sistem, verificrile

pe care le efectueaz se fac automat.

2.7.3. Controale ale grupului de control al sistemului informatic, care constau nmsuri de verificare a ieirilor de ctre personalul autorizat al organismului economic,cu sau fr departament specializat de informatic, care urmresc:

distribuia rezultatelor prelucrrilor sau evidenelor efectuate, prin sistemelede calcul componente ale sistemului informatic, numai ctre utilizatorii autorizai;


23/33

23

analiza erorilor raportate de sistem, identificarea cauzelor de apariie a loriverificarea eliminrii acestora din sistemul automat de prelucrare i eviden respectiv.

Concluzie. Scopul controlului internntr-un sistem informatic l constituie verificareacorectitudinii rezultatelor prelucrrilor realizate n interiorul su i distribuirea acestora,manual sau prin intermediul sistemului de prelucrare automat a datelor folosit, numai ctreutilizatorii autorizai. Prin urmare, nu se poate vorbi de control intern ntr-un sisteminformatic fr controale de ieire, folosite de grupul de control al organismului economic,de utilizatori i/sau de auditori pentru a verifica dac sistemul informatic utilizat respectcerinele utilizatorilor pentru care a fost proiectat i implementat.

Un control intern puternic i eficient impune utilizarea tuturor msurilor, tehnicilorimecanismelor, denumite generic controale de audit, controale interne sau, mai simplu,controale, care servesc scopului urmrit i permit organismelor economice s utilizeze ndesfurarea activitilor lor economice, tiinifice, organizatorice etc. sistemeleinformatice, beneficiind astfel de avantajele majore oferite de acestea: puterea de calcul, destocare (memorare), de evideni de prezentare grafic.

3. SARCINILE DE CONTROL ALE AUDITORILOR NTR-UN SISTEMINFORMATICntr-un organism economic, funcia de auditor al sistemului informatic trebuie s

existe separat i distinct de funcia de control atribuit personalului autorizat saugrupului de control din Departamentul de informatic, dac acesta este constituit,deoarece personalul autorizat sau grupul de control efectueaz controlul zilnic al

prelucrrilori distribuirilor automate de date, n timp ce auditorii evalueaz eficienaprelucrrilor efectuate asupra datelori a controalelor corespunztoare, n ansamblu.

Auditorii sistemelor informatice trebuie s participe la proiectarea acestorapentru a se asigura c:- sistemul creeaz un jurnal corect i complet al prelucrrilor (jurnal de activitate);- se implementeaz controalele necesare pentru asigurarea unui control intern, la

nivelul solicitat de utilizatori.Auditorii testeaz sistemul informatic, n momentul n care acesta devine

operativ:- verific dac au fost implementate toate controalele interne prevzute n proiect;- stabilesc dac toate controalele interne implementate n sistem funcioneaz aa

cum a fost planificat;

- iau msurile necesare pentru corecia erorilor de implementare i funcionare acontroalelor interne prevzute n proiect;- identific eventualele schimbri neautorizate efectuate n sistemul informatic i iau

msurile necesare pentru eliminarea sau autorizarea acestor schimbri.Pentru asigurarea controlului intern, la nivelul solicitat de utilizatori, definit prin

proiect, auditorii ndeplinesc urmtoarele sarcini:- verific separarea, din punct de vedere funcional, a personalului de

programare de personalul de operare i impun msurile organizatorice necesare pentrurealizarea acestei separri;

- verific documentaia iniial a sistemului informatic i actualizarea acesteia,n cazul n care sunt autorizate schimbri;


24/33

24

- verific ndeplinirea sarcinilor care au fost atribuite personalului autorizat saugrupului de control al sistemului informatic;

- urmresc aplicarea msurilor de siguran a sistemului informatic;- urmresc funcionarea efectiv a controlului, n cadrul organismului

economic care utilizeaz, pentru evidena activitilor sale, un sistem informatic.Funcia de auditor al sistemului informatic utilizat de un organism economic

poate fi atribuit unui angajat permanent sau unui colaborator extern al acestuia, dupcum sarcinile pe care trebuie s le ndeplineasc auditorul impun, sau nu impun,

prezena permanent a acestuia la locul de munc. Dac volumul de activitatedesfurat sau nivelul de eficien solicitat pentru controlul intern al sistemuluiinformatic utilizat este ridicat, organismul economic trebuie s angajeze proprii siauditori. n caz contrar, poate folosi, pentru ndeplinirea sarcinilor de audit, colaboratoriexterni specializai, care pot ocupa funcia de auditor la mai multe organismeeconomice. Din acest punct de vedere, auditorii sistemelor informatice pot fi interni sauexterni organismului economic care utilizeaz un sistem informatic. Auditorii externi

pot fi auditori independeni sau angajai ai organismelor financiare sau ageniilorguvernamentale de control.

4. UTILIZAREA SISTEMELOR INTEGRATE DE TESTAREN AUDITAREA SISTEMELOR INFORMATICE

Auditorii pot folosi pentru testarea i monitorizarea controalelor interneimplementate ntr-un sistem informatic aa-numitul sistem integrat de testare, careconst n integrarea unui set de fiiere de test, programe i date de test n sistemulinformatic respectiv. Aceste fiiere de test permit ca datele de test pe care le conin sfie prelucrate simultan cu datele reale, fr ca datele reale respective i rezultatul

prelucrrii lor s fie afectate. Datele de test, care cuprind toat gama imaginabil dedate posibil a fi introduse n sistemul informatic respectiv, afecteaz numai fiierele detest i rezultatele prelucrrilor acestora. Sistemul integrat de testare poate fiimplementat n toate tipurile de sisteme informatice, inclusiv n sistemele informaticeon-line, n timp real.

Sistemul integrat de testare poate fi folosit de auditori i pentru monitorizareaprelucrrilor datelor de test n vederea studierii efectelor produse de prelucrrileefectuate asupra fiierelor de test, listelor de erori i ieirilor sistemului informatic. Eicomunic concluziile personalului autorizat sau grupului de control care efectueaz

controlul zilnic. Spre exemplu, un sistem integrat de testare pentru aplicaii desalarizare i eviden personal poate defini un departament fictiv pentru carenregistreaz angajai fictivi n fiierele de angajai i salarii. Datele de la departamentulfictiv vor fi introduse n sistem simultan cu datele de la departamentele reale. Auditorii,externi sau interni, vor monitoriza toate ieirile aferente departamentului fictiv, inclusivnregistrrile de salarii, listele de erori i cecurile emise. n acest caz, e necesar uncontrol strict al ieirilor n vederea prevenirii folosirii neautorizate a cecurilor fictive.

Folosirea sistemelor integrate de testare prezint riscul de manipulare eronat adatelor reale, prin transferarea lor n sau din fiierele fictive. Pentru eliminarea acestuidezavantaj, auditorii trebuie s monitorizeze toate activitile n fiierele fictive utilizatei s impun msuri riguroase de prevenire a accesului neautorizat la aceste fiiere. De


25/33

25

asemenea, proiectarea unui astfel de sistem trebuie fcut cu atenie, pentru a eliminariscul ca fiierele reale s fie contaminate ntmpltor cu date din fiierele de test.

5. IMPACTUL UTILIZRII SISTEMELOR INFORMATICEASUPRA AUDITULUI ORGANISMELOR ECONOMICEOrganismele economice, care folosesc sisteme manuale sau mecanice de

prelucrare a datelor, ntocmesc documente de eviden, prezentare i control alactivitilor desfurate pe suport material (hrtie), pe care orice modificare de date(nregistrare, actualizare sau tergere) las urme, rmne vizibil. Sistemeleinformatice, fiind sisteme automate de prelucrare, evideni stocare a datelor, permitmodificarea datelor introduse (nregistrate) n sistem (pe suport electronic), fr nici ourm vizibil a schimbrilor fcute. La nceputul dezvoltrii sistemelor informatice,acest lucru a produs o mare ngrijorare printre economiti (contabili, finaniti, auditorietc.) care considerau c prelucrrile electronice de date vor ascunde, sau chiar vorelimina, nregistrrile de date necesare n procesul de audit. Dei, din punct de vedere

tehnologic, este posibil proiectarea unui sistem informatic n care datele produse deactivitile efectuate de organismele economice s nu fie nregistrate, n vedereaefecturii unui control, un astfel de sistem nu este nici practic, nici de dorit. Existmotive reale de integrare a unui sistem de audit, chiari n cele mai sofisticate sistemeinformatice, determinate, n principal, de:

necesitatea de coordonare i controlare a activitilor desfurate de unorganism economic de ctre factorii acestuia de decizie (managerii si);

nevoia de reconstrucie a fiierelor de date i de program, distruse deeventualele erori de prelucrare sau posibilele defecte tehnice;

desfurarea activitii de control (audit) de ctre auditori independeni sauagenii guvernamentale.

n cazul sistemelor informatice sofisticate, dificultatea unui audit este dat defaptul c nregistrrile datelor rezultate din activitile organismelor economice, folositen procesul de audit, pot exista numai pe suport electronic, ntr-un format cod-main,nu i ntr-o form tiprit. Uneori, dup ce sunt generate, datele pentru audit sunttransferate pe un mediu de stocare cu pre redus, cum ar fi microfiele. Mai mult dectatt, anumite organisme economice folosesc aa-numitul Electronic Data Interchange(EDI), n care organismul economic respectiv, mpreun cu clienii i furnizorii sifolosesc legturi de comunicaii electronice (telecomunicaii, comunicaii radio sau pe

fibr optic etc.) pentru a schimba date pe cale electronic. n astfel de cazuri,documentele surs tiprite (facturi, ordine de plat, cecuri, avize de expediie etc.) suntnlocuite cu documente similare n format electronic. Exemplu: ntr-un sisteminformatic de tip EDI, o tranzacie de cumprare poate fi iniiat automat de ctrecalculatorul firmei care solicit cumprarea prin trimiterea unui mesaj electronic, de tipcomand direct, la calculatorul furnizorului su. n aceste condiii, auditorii trebuie sutilizeze controale de audit care s integreze tehnici specifice de retenie a datelori de

prelucrare a lor, n vederea asigurrii unui audit adecvat.ntr-un sistem informatic, datele necesare auditului pot fi nregistrate:

-

pe documente tiprite din calculator;


26/33

26

- n format electronic, citibil numai pe calculator.n sistemele informatice, datele nu se nregistreaz ntr-un format tradiional, pe

documente surs scrise de mn, ci numai n format electronic, care poate fi tiprit, lacerere, pe suport material de tip hrtie sau poate fi urmrit direct pe ecranulcalculatorului.

Prin urmare, teama economitilor c utilizarea sistemelor informatice ndesfurarea activitilor economice va elimina datele necesare auditului nu s-amaterializat. nc din faza de proiectare a unui sistem informatic, auditorii interni i,eventual, externi, urmresc integrarea n sistem a unor tehnici de audit care asigur

pstrarea (memorarea) datelor necesare efecturii unui control intern eficient alsistemului respectiv.

6. CONSIDERAIILE AUDITORILOR CU PRIVIRELA CONTROLUL INTERN NTR-UN SISTEM INFORMATICIndiferent de tipul sistemului de eviden (gestiune) a activitilor economice i

de prelucrare a datelor (manual, mecanic sau informatic) folosit de organismeleeconomice, auditorii trebuie s efectueze un control intern, pentru realizarea cruia estenecesar:

- s evalueze corect riscul de control (posibilitatea de existen a unor eroricare nu pot fi detectate);

- s determine natura activitilor desfurate de organismul economic auditat;- s stabileasc tipul i amploarea activitilor de audit necesare;- s aprecieze timpul necesar pentru completarea auditului.Pe baza celor stabilite n vederea completrii auditului, auditorii pot face

organismului economic recomandri pentru mbuntirea structurii de control intern.Indiferent de tipul sistemului de gestiune i prelucrare a datelor folosit de un organismeconomic, recomandrile pe care le fac auditorii cu privire la controlul intern se mpartn patru categorii, corespunztoare urmtoarelor patru tipuri de activiti:

- planificarea auditului; pentru aceasta. auditorii trebuie s neleag suficientde bine rolul controlului intern, modalitile de realizare a acestuia i tehnicile deintegrare a controalelor n sistemul de gestiune i prelucrare a datelor folosit de unorganism economic;- evaluarea riscului de control i proiectarea testelor adiionale pentru procedurile de

control ale sistemului informatic;

- realizarea testelor adiionale pentru procedurile de control ale sistemului informatic;- reevaluarea riscului de control al sistemului informatic i modificareacorespunztoare a testelor de evaluare.

6.1. Pregtirea auditorilor pentru planificarea auditului i proiectareacontroalelor (testelor) de audit

Planificarea auditului pentru un organism economic i necesitatea proiectrii deteste de audit eficiente solicit auditorilor s aib cunotinele de specialitate necesarenelegerii structurii unui control intern, indiferent de tipul sistemului de gestiune i

prelucrare a datelor utilizat (manual, mecanic sau electronic) i de complexitateaacestuia.


27/33

27

Pentru planificarea auditului i proiectarea de teste de audit eficiente, auditoriitrebuie s aib cunotine despre:- procedurile i tehnicile de audit disponibile;- proiectarea i realizarea controalelor interne; trebuie s tie ce se urmrete prin

auditul intern i cum se poate realiza un audit complet;- sistemele de gestiune i prelucrare a datelor utilizate de organismele economice;

trebuie s cunoasc particularitile fiecruia, din punct de vedere al auditului;- tehnicile de integrare a controalelor interne n sistemele de gestiune i prelucrare a

datelor disponibile;- natura activitilor desfurate de organismele economice: caracteristicile i

particularitile acestora, din punctul de vedere al auditului;- legislaia n vigoare.

Evoluia tehnologic a microcalculatoarelor de tip PC, din ce n ce maiperformante i mai ieftine, a condus la apariia i dezvoltarea continu a aplicaiilorsoftware i, implicit, la utilizarea, pe scar larg, a sistemelor informatice bazate pe

mediu PC. Practic, sistemele de gestiune i prelucrare a datelor clasice (manual saumecanic) sunt pe cale de dispariie, fiind nlocuite de sisteme informatice. n acestecondiii, auditorii trebuie s aib cunotine suplimentare de informatic, minimulnecesar care s le permit s i desfoare activitatea de control.

Pentru a stabili natura, durata i amploarea activitilor de audit, auditorul trebuies aib suficiente cunotine informatice pentru a face analiza procedurilor de

prelucrare utilizate i a rezultatelor acestora.Auditarea sistemelor informatice simple, care prelucreaz datele folosind

algoritmi de calcul uor de aplicat, nu impune testarea acestor sisteme folosindproceduri de test implementate pe calculator; n acest caz, auditorii compar rezultatulprelucrrilor datelor de test, obinut manual, cu cel obinut folosind sistemul informaticauditat i analizeaz diferenele; aceast tehnic este denumit auditarea evitndcalculatorul, deoarece auditorii evit calculatorul n realizarea auditului. Auditareasistemelor informatice complexe impune ns folosirea procedurilor de auditimplementate pe calculator i proiectarea unor teste suplimentare pentru controlulacestor proceduri.

Documentaia ntocmit de auditor, aa-numitul raport de audit, variaz n funciede complexitatea sistemului informatic auditat. Pentru un sistem cu structur simpl decontrol intern, poate fi suficient o descriere. De regul, ns, raportul de audit trebuie

s conin:6.1.1. Diagramele Sistemului Informatic, care descriu activitile desfurate desistemul informatic utilizat de organismul economic auditat i care pot fi:

- diagrame de sistem: sunt folosite, n mod curent, n procesul de audit, catehnic de descriere a controlului intern; prezint avantajul c fac parte dindocumentaia standard a sistemului informatic, prin urmare nu mai trebuie ntocmite deauditor; exemplu: diagrama de vnzri, diagrama de credite, diagrame de ncasri etc.;

- diagrame de program: prezint, n detaliu, logica unui anumit programfolosit de sistemul informatic; auditorii care pot interpreta diagramele de program potnelege i interpreta controalele coninute ntr-o anumit aplicaie software, folosit deSistemul Informatic auditat.


28/33

28

6.1.2.Chestionare, special proiectate, pentru a fi folosite n procesul de control alsistemului informatic; exemplu: chestionare de control al accesului ntr-un sisteminformatic.

Concluzie. Proiectarea, realizarea i utilizarea tehnicilor de audit asistate decalculator impun auditorilor, pe lng cunotine temeinice din domeniul economic,cunotine suplimentare din domeniul informatic i din domeniul de activitate alorganismelor economice de auditat.

6.2. Evaluarea riscului de control planificat i proiectarea de teste adiionalepentru controlul (testarea) procedurilor de audit

Riscul de control al unui sistem informatic reprezint posibilitatea de existen aunei erori care nu poate fi prevenit sau detectat n timp util de ctre controlul intern alsistemului respectiv.

Pentru a determina nivelul riscului de control planificat al sistemului informaticauditat, auditorii trebuie s cunoasci s neleag:

mediul de control specific organismului economic care utilizeaz sistemulinformatic auditat; schimburile de date din cadrul organismului economic care utilizeaz

sistemul informatic auditat; procedurile de control intern implementate n sistemul informatic auditat.Dac, pentru sistemul informatic auditat, nivelul riscului de control planificat a

fost evaluat ca fiind: mare, atunci este admis posibilitatea apariiei unor erori nedetectabile de

controlul intern implementat n sistemul respectiv; n aceste condiii, nu sunt necesare

teste adiionale pentru verificarea procedurilor de audit utilizate; sczut, atunci nu este admis posibilitatea apariiei unor erori nedetectabilede controlul intern implementat n sistemul respectiv; n aceste condiii, sunt necesareteste adiionale pentru verificarea procedurilor de audit utilizate.

n evaluarea riscului de control

Documents

Auditarea_sistemelor_informatice_cig - sinteza.pdf